1. #1

    Registriert seit
    19.11.2011
    Beiträge
    2.128
    Thanked 1.936 Times in 1.180 Posts

    Standard Wie ist es möglich dass Accounts wie Twitter gehackt werden?

    Hallo.

    Ich frag mich immer wieder, wie es möglich ist, dass Twitter Accounts von Promis oder sonstigen Personen
    gehackt werden.

    Normalerweise sind das doch riesige Server die auch erhebliche Sicherheit bieten.

    Und das Kennwort ist doch meistens auch nicht gerade schlecht gewählt von
    bekannten Personen.

    Wie ist das möglich?

  2. #2
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    6.080
    Thanked 9.118 Times in 2.995 Posts
    Blog Entries
    5

    Standard AW: Wie ist es möglich dass Accounts wie Twitter gehackt werden?

    Gibt etliche Gründe, mir fallen spontan folgende ein:

    - Schlechte Passwörter
    - Unzureichende Absicherung der Passwörter (in einer Cloud ablegen, auf einen Zettel schreiben etc)
    - Der betroffene hat nicht für jedes Konto ein einzigartiges Passwort verwendet und ein anderer Account von ihm wird geknackt (z.B. durch eine Sicherheitslücke wie erst vor kurzem in der iCloud)
    - Ein anderes Konto ermöglicht den Zugriff auf das betroffene Konto ist schlecht abgesichert (z.B. die im gekaperten Account hinterlegte eMail-Adresse, worüber das Kennwort mit der "Passwort Vergessen" Funktion neu gesetzt werden kann)
    - Schlechte Sicherheitsfragen bzw. Antworten über die sich das Passwort neu setzen lässt, je nach betroffenem Account in Kombination mit dem vorherigen Punkt
    - Das Opfer ist auf eine Phishing-Seite hereingefallen
    - Ein Gerät des Opfers wurde durch Schadsoftware kompromittiert und übermittelt beispielsweise sämtliche Tastatureingaben an den Angreifer
    - Verlust eines Gerätes mit aktiven Logins oder sogar gespeicherten Passwörtern (z.B. Smartphone, Tablet, Laptop etc)
    - Einen (nicht vertrauenswürdigen) fremden Computer genutzt, wo entweder die Zugangsdaten heimlich ausgespäht wurden oder der Betroffene hat schlicht und einfach vergessen sich auszuloggen
    - Ein eigentlich geschütztes Gerät verfügt über Backdoors, die ein Angreifer ausnutzt um an persönliche Daten (möglicherweise auch Passwörter) zu gelangen (betrifft beispielsweise iOS)

    Die Liste ist grob nach Wahrscheinlichkeit sortiert (wahrscheinlichste oben), wobei das natürlich stark vom Wissensstand sowie dem Charakter des betroffenen abhängt. Ein Informatiker mit Praxiserfahrung sollte es besser wissen und so ziemlich alle hier genannten Dinge nicht falsch machen, wobei Skandale wie die Kontrolle der NSA über Stellar immer wieder belegen, dass immer wieder auch "Experten" die einfachsten Dinge falsch machen. Und das, obwohl es bei Stellar um Infrastruktur geht, mit der man wesentlich brisantere Dinge anstellen kann als mit einem geklauten Twitter-Account.

    Teilweise kommt es natürlich auch mal vor, dass alle der oben genannten Punkte nicht zutreffen und stattdessen tatsächlich ein Sicherheitsproblem beim Seitenbetreiber vorhanden ist. Welche konkreten Auswirkungen das hat hängt natürlich vom jeweiligen Einzelfall ab. Beispielsweise könnten beim Zugriff auf die Datenbank aktive Sessions der Nutzer gekapert werden (also alle User die gerade eingeloggt sind oder nach dem Verlassen der Seite nicht auf Logout geklickt haben), sofern diese nicht an weitere benutzerspezifische Merkmale gekoppelt sind (IP, User-Agent etc). Passwörter sollten nie im Klartext in einer Datenbank vorhanden sein, sondern gehasht und gesalzen. Man kann auch noch einen statischen Salt mit ins Spiel bringen der nicht in der Datenbank gespeichert sondern im Dateisystem liegt (z.B. eine Konstante im Code). Dadurch wird es Angreifern zusätzlich erschwert, da sie mit Datenbankzugriff alleine in der Hinsicht nicht viel anfangen können.

    Man muss aber immer bedenken, dass viele Wege nach Rom führen. Wenn ich Zugriff auf eine Datenbank habe und die Passwörter vernünftig gehasht und gesalzen sind, wäre es nicht sehr erfolgsversprechend hier zu versuchen, die Hashes zurückzuberechnen. Hat mein gekaperter Datenbankbenutzer aber z.B. Zugriff auf eine Tabelle wo sich Templates befinden, kann ich möglicherweise einfach die User auf eine Phishing-Seite leiten, und dort ihr Passwort im Klartext bekommen. Es gibt viele Angriffsmöglichkeiten, die stark von den jeweiligen Umständen abhängen. Eine Auflistung aller Angriffsmöglichkeiten macht daher an dieser Stelle wegen des großen Umfangs keinen Sinn.

    Als Nutzer muss man das aber auch gar nicht wissen, da man den Schaden durch eine Sicherheitslücke in einer einzelnen Seite selbst so gering wie möglich halten kann. Man muss einfach nur für jeden Zugang ein einzigartiges und sicheres Passwort wählen. Wenn im Worst-Case Szenario mein Passwort von xyz.de im Klartext in die Hände des Angreifers fällt, kann er damit ausschließlich auf xyz.de Schaden anrichten. Beachte ich als Nutzer alle wichtigen Punkte im Bezug auf Passwortsicherheit, tendiert die Chance, dass dieses Passwort durch Eigenverschulden in fremde Hände gerät gegen Null. Wird der Account durch eine Sicherheitslücke beim Anbieter missbraucht, ist die Chance, dass ich als Einzelner hier Konsequenzen zu fürchten habe gering. Zumal dies für gewöhnlich dann kein Einzelfall ist, und es im Interesse des Anbieters sein sollte bei seinem Fehlverhalten gegenüber den Kunden kulant zu sein. Wenn sich z.B. wie bei Sony vor wenigen Jahren herausstellt, dass sensible Daten wie Passwörter im Klartext ohne jeglichen Schutz gespeichert wurden, wird sich der Anbieter sowieso hüten etwas zu sagen. Da kann er eher froh sein, wenn er nicht verklagt wird. Solches Verhalten ist grob fahrlässig und entspricht einem Skandal, wie wenn sich herausstellen würde, dass unser Finanzminister 1 und 1 nicht korrekt addieren kann.

    Das Problem ist schlicht und einfach, dass viele Leute das eben nicht machen. Passwörter soll man sich gut merken können, also nehm ich 'Tommy', denn so heißt mein Hund und den werde ich ja wohl nicht so schnell vergessen. Für die anderen Konten nimmt man natürlich dasselbe, denn das hat man ja bereits im Kopf. Schon ist die tickende Zeitbombe perfekt. Eine Sicherheitslücke wie kürzlich in der iCloud könnte sie schon hochgehen lassen: Passwort wird gebrutet da extrem einfach, schon hat der Angreifer Zugriff auf X weitere Accounts. In diesem bewusst sehr stupide gehaltenem Beispiel wäre bruten aber nicht mal nötig. An so simple Infos wie der Name des Haustieres kann auch ein außenstehender leicht geraten. Mit sozialen Netzwerken wird das natürlich extrem vereinfacht: Da hat man nicht selten gleich etliche Informationen wie Name, Geburtsdatum, Alter, Beruf/Arbeitgeber usw. von der Zielperson sowie manchmal auch von nahestehenden Personen wie Eltern oder Freund/in. Klassiker wie 'Passwort', '123456' sind auch nicht viel besser und stehen beim ausprobieren bzw. in Wörterbuchlisten für Brute-Force Angriffe meist recht weit oben.

    Bei besonders sensiblen Diensten (Administrator-Zugänge etwa) die auf keinen Fall in falsche Hände geraten dürfen sollte man zudem auf eine 2-Factor Authentifizierung setzen. Hat der Angreifer im Worst-Case Szenario das Passwort, bringt ihm das nämlich nichts. Im Gegenteil, ich bin z.B. durch eine TAN die ich aufs Handy bekomme ohne mich irgendwo eingeloggt zu haben sogar gewarnt, dass jemand unbefugtes Versucht in meinen Account einzudringen. Aber hier pennen die Hersteller bzw. verzichten wohl auch bewusst darauf, um es dem Nutzer so einfach wie möglich zu machen. Benutzername, Passwort und drin ist eben einfacher und schneller wie Benutzername, Passwort, Eingabe einer TAN die aufs Handy geschickt wird und man ist drin.

    Ich vermute mal, dass sich deine Frage und Überlegung auf den Twitter-Account von Sido bezieht, der erst letztes Wochenende gekapert wird. Berühmte und wichtige Personen sind natürlich generell ein beliebteres Angriffsziel als Peter Müller. Wird Peter Müllers Twitter-Account geknackt, sehen das ein paar Freunde und Bekannte. Vielleicht 50 oder 100 Leute. Früher oder später wird er es bemerken und übermorgen wissen auch die 50 oder 100 Leute nichts mehr davon. Jemand wie Sido hat schon durch seine Fans eine viel größere Reichweite. Dazu kommt die anschließende Berichterstattung in den Medien, die es bei Peter Müller nicht gibt. Sonst wäre kein Platz mehr für andere Nachrichten, die sich nicht um gekaperte Accounts handeln.

    Soweit ich weiß ist bislang nicht bekannt, was letztendlich bei Sido genau passiert ist. Gut möglich, dass das auch so bleibt. Ich bezweifle, dass in den nächsten Tagen herauskommt, dass ganz Twitter gekapert wurde. Dass Sido nicht unbedingt scharf darauf ist in den Medien breit zu treten, dass jemand sein Passwort 'sido111080' erraten hat, dürfte nachvollziehbar sein. Da es aber anscheinend ein kleines Katz- und Mausspiel zwischen Sido und dem Angreifer gab (Sido postet 'Bin gehackt worden', am nächsten Tag wird mit dem Account Werbung auf Englisch gepostet, am Montag postet anscheinend wieder Sido selbst, dass er genervt ist) war der Angreifer wohl nicht nur im Besitz des Twitter-Passworts, sondern hatte weitreichenderen Zugriff, sodass der Angreifer trotz Passwortänderung weiterhin Zugang hatte. Genau so gut kann es aber sein, dass Sido Anfangs sein Passwort auf eines geändert hat, das er woanders benutzt, und der Angreifer dies auch besaß.
    Auf jeden Fall ist ein Fehler seitens Sido wahrscheinlich, sofern sich die Angriffe auf andere bekannte Zwitscherer nicht in nächster Zeit häufen, was hingegen eher unwahrscheinlich ist. Wer nun also feststellt, dass er für 10 verschiedene Dienste ein Passwort hat und nicht so oder noch viel schlimmer enden will wie Sido, sollte das als Mahnmal betrachten und etwas dagegen unternehmen.


  3. The Following 6 Users Say Thank You to DMW007 For This Useful Post:

    Benzol (19.12.2014), Darkfield (24.09.2014), Ektoplazm (24.09.2014), Jokuu (24.09.2014), Open Thought (12.01.2015), Sido (26.03.2015)

  4. #3

    Registriert seit
    11.01.2013
    Beiträge
    48
    Thanked 8 Times in 7 Posts

    Standard AW: Wie ist es möglich dass Accounts wie Twitter gehackt werden?

    Also ich denke dass es heutzutage ziemlich schwer ist 100 prozentige Sicherheit für seine Accounts zu haben. Die Hacker heutzutage sind so raffiniert dass sie echt alles kriegen wenn sie sich auch wirklich dafür interessieren. Dazu kommt noch dass man auch noch zu einfallslose Passwörter verwendet, die den Vorgang zum Hack mit Sicherheit beschleunigen.

  5. #4

    Registriert seit
    24.09.2014
    Beiträge
    12
    Thanked 2 Times in 2 Posts

    Standard AW: Wie ist es möglich dass Accounts wie Twitter gehackt werden?

    Eine fast 100% Sicherheit kann man nur gewährleisten in dem man die maximale länge eines Passwort Feldes ausnutzt. Ebenso kann man die Sicherheit erhöhen indem man sein Passwort aus Großen sowie kleinen Buchstaben, Sonderzeichen und Zahlen erzeugt.

  6. #5
    Avatar von Jokuu
    Registriert seit
    08.03.2014
    Beiträge
    263
    Thanked 108 Times in 74 Posts

    Standard AW: Wie ist es möglich dass Accounts wie Twitter gehackt werden?

    Und das bringt dir nur leider garnichts, wenn du dieses sichere Passwort für 20 Accounts benutzt. Oder es auf einer gefakten Seite eingibst, zum Beispiel weil du einen Link aus einer gefälschten E-Mail angeklickt hast. Oder es erratbar ist. Wenn ich Bäcker heiße mit Jahrgang 1996 und mein Pw ist Bäcker1996, habe ich Zahlen, Großbuchstaben, kleine Buchstaben und sogar Sonderzeichen. Trotzdem ist es ein einfaches Passwort, das jeder der wenige Informationen über mich hat erraten könnte.
    Deswegen ist es unerhört, dass es Seiten gibt die ihr Passswort auf z.B. maximal 10 Zeichen limitieren! Bei Knuddels wars früher auch so, dass man nur bis 10 oder 12 Zeichen eingeben konnte. Dass die Leute dann unsichere Passwörter benutzen ist doch kein Wunder. Kann auch falsche Schlussfolgerungen bei den Leuten bewirken wenn man das dort hinschreibt!
    Meine Tochter neulich im Zoo in der Arktisabteilung: "Guck mal Papi, da sind Linuxe!"

  7. The Following User Says Thank You to Jokuu For This Useful Post:

    Dr. Bastardo (17.02.2015)

  8. #6

    Registriert seit
    13.09.2013
    Beiträge
    34
    Thanked 7 Times in 6 Posts

    Standard AW: Wie ist es möglich dass Accounts wie Twitter gehackt werden?

    Viele Passwörter sind entweder leicht zu erraten oder mit einer kombinierten Wörterbuchattacke leicht herauszufinden. Also grundsätzlich keine Begriffe verwenden die in einem Wörterbuch stehen könnten,
    dazu gehören auch Namen.

  9. #7
    Avatar von Sky.NET
    Registriert seit
    26.11.2011
    Beiträge
    2.462
    Thanked 2.717 Times in 1.286 Posts
    Blog Entries
    7

    Standard AW: Wie ist es möglich dass Accounts wie Twitter gehackt werden?

    Also, zum Thema sichere Passwörter (so ziemlich das einzige, was in den Händen des Users liegt):

    Ich kenne meine Passwörter selbst nicht, nur das 40-Stellige Passwort, was meine kdbx-Datenbank schützt und da kommt so schnell auch niemand dran, weil nur in meinem Kopf existent.

    Mein KeePass2 erstellt sämtliche Passwörter selbstständig und ich kann diese nicht einsehen (könnte ich, aber wozu sollte ich?).
    Ich kopiere sogar auch nur die wenigsten Passwörter (halt nur die, die nicht im Browser benötigt werden), denn mein KeePassHTTP in Zusammenspiel mit ChromeIPass füllt mir sogar die Logins der entsprechenden Websites automatisch aus

    Da ganze nutze ich dann mit KeePass2Android Offline genau so auch auf meinem Smartphone und meinen beiden Tablets.
    Gesyncht werden die 5 Geräte (PC, NetBook, 2 Tablets + Smartphone) dann nur im lokalen WLAN mittels einem kleinen SFTP-Ordnerabgleich, so dass alle kdbx-Dateien so ziemlich immer auf dem selben Stand sind (Master ist hier immer der PC).

    Nach einiger Zeit habe ich auch bemerkt wie VIELE Passwörter ich vorher hatte (natürlich fast immer das gleiche, nur etwas abgewandelt und nicht annähernd 24 Zeichen und lauter random A-Z0-9-Sonderzeichen, so wie es jetzt ist), und wie unsicher das Ganze war.

    Unabhängig von der Tatsache, dass die kdbx-Datei auf allen meinen Geräten sowieso immer redundant gespeichert ist, wird diese Datei dann noch auf mein NAS gesichtert und dort 1x wöchtenlich in mein CloudDrive bei Strato (verschlüsselter Container) geschoben.
    Ein Verlust aller Passwörter ist also völlig unrealistisch, da geht eher die Welt unter oder Krieg bricht in Deutschland aus.

    Und wie schützt ihr so eure Passwörter?
    Java:
    Spoiler:

    Lustige Quotes:
    Spoiler:
    Zitat Zitat von Hydra Beitrag anzeigen
    Hier (in Deutschland) kann man keine andere tolle Aktivitäten machen, als zu chillen, shoppen, saufen und Partys feiern xD Ich habe nichts gegen ab und zu mal saufen und Partys feiern, aber das ist doch nicht wirklich das wahre Leben o_o
    Wieso das Internet für die meisten Leute gefährlich ist:
    Zitat Zitat von Silent Beitrag anzeigen
    Ich weiß ja nicht was der Sinn dahinter steckt es heißt immer "security reasons".

  10. #8

    Registriert seit
    16.02.2015
    Beiträge
    6
    Thanked 0 Times in 0 Posts

    Standard AW: Wie ist es möglich dass Accounts wie Twitter gehackt werden?

    sky.net sein Post hat mich gerade echt zum nachdenken gebracht. Mein Passwort ist standard und ich hätte niemals mit so einer Vielfalt an Variationen gerechnet, also dass so viel überhaupt möglich ist. KeePass lade ich mir gerade herunter, um mir das mal anzuschauen.

    Zitat sky: Ich kenne meine Passwörter selbst nicht, nur das 40-Stellige Passwort, was meine kdbx-Datenbank schützt und da kommt so schnell auch niemand dran, weil nur in meinem Kopf existent.

    Aber wie machst du das wenn du z.B. bei Familie oder Freunden bist, halt ohne deinen PC. Wenn du mal irgendein Passwort brauchst? Ich stelle mir das alles etwas zu komplex vor, ich denke so viel Sicherheit ist unnötig. Passwort Sicherheit hin oder her..

  11. #9

    Registriert seit
    01.03.2013
    Beiträge
    168
    Thanked 29 Times in 26 Posts

    Standard AW: Wie ist es möglich dass Accounts wie Twitter gehackt werden?

    Leute die Accounts von Prominenten hacken sind natürlich noch motivierter weil Mann bzw Frau damit eine menge Kohle machen kann. Das ist so wie mit Auftragsdiebstähle bzw gezielten Einbrüchen in Wohnungen und Häusern.

  12. #10

    Registriert seit
    17.12.2013
    Beiträge
    24
    Thanked 4 Times in 4 Posts

    Standard AW: Wie ist es möglich dass Accounts wie Twitter gehackt werden?

    @kingazz: Bezüglich der Frage wie Sky.net es handhabt, wenn er bei Freunden oder Familie ist: Das hat er eigentlich schon beantwortet. Er benutzt die Passwortdatei offline auf seinem Smartphone.
    Ich handhabe es so, dass ich die Passwortdatei in einer Cloud habe (habe auch noch ein zusätzliches Backup) und auf jedem Endgerät habe ich lediglich die Keydatei (ist ein doppelter Schutz, man benötigt Passwort + Keydatei, damit die Passwortdatei sich öffnen lässt). Mein Gedanke, ist der, dass sollte mein Smartphone gestohlen werde, diejenige Person, lediglich die Keydatei hat und diese kann ich wiederum ändern, sodass er damit nichts anfangen kann. Nachteil ist natürlich, ohne Internet keine Zugang zur Passwortdatei. Allerdings benötigt man eh so gut wie immer Internet, ansonsten kann man mit den Passwörtern ja nichts anfangen Ausnahme wären jetzt lediglich Bankdaten.
    Welche Variante nun sicherer ist, weiß ich auch nicht genau, würde mich aber diesbezüglich über eine Antwort freuen

Ähnliche Themen

  1. 35.000 Twitter-Zugangsdaten veröffentlicht
    Von Boone im Forum IT & Technik News
    Antworten: 1
    Letzter Beitrag: 09.05.2012, 14:07
  2. Findet ihr, dass der Drogenkonsum zugenommen hat?
    Von Essah im Forum RealLife News
    Antworten: 6
    Letzter Beitrag: 28.03.2012, 14:53
Diese Seite nutzt Cookies, um das Nutzererlebnis zu verbessern. Klicken Sie hier, um das Cookie-Tracking zu deaktivieren.